ASA CX および Cisco Prime Security Manager 9.2 ユーザ ガイド
インターフェイス管理
インターフェイス管理
発行日;2014/01/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

インターフェイス管理

この項では、デバイス インターフェイスを設定および管理する方法について説明します。

デバイス インターフェイスについて

インターフェイスは、セキュリティ デバイスと他のネットワーク デバイスとの間の接続ポイントです。 インターフェイスは、最初はディセーブルになっています。そのため、ファイアウォール設定に不可欠な作業として、インターフェイスをイネーブルにし、適切なパケット インスペクションおよび転送を許可するように設定する必要があります。

インターフェイスには、物理インターフェイスと論理インターフェイスの 2 つのタイプがあります。物理インターフェイスは、ネットワーク ケーブルが差し込まれるデバイス上の実際のスロットであり、論理インターフェイスは、特定の物理ポートに割り当てられる仮想ポートです。 一般的に、物理ポートはインターフェイスと呼ばれます。また、論理ポートは機能に応じて、サブインターフェイス、仮想インターフェイス、VLAN、または EtherChannel と呼ばれます。 定義できるインターフェイスの数とタイプは、アプライアンス モデルおよび購入したライセンスのタイプによって異なります。

サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。 VLAN により、特定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスやセキュリティ アプライアンスを追加しなくても、ネットワークで使用できるインターフェイスの数を増やすことができます。 この機能は、マルチ コンテキスト モードで特に役立ち、これにより、各コンテキストに一意のインターフェイスを割り当てることができます。

原則として、インターフェイスはルータベースのネットワークに接続し、サブインターフェイスはスイッチベースのネットワークに接続します。 すべてのサブインターフェイスが、許可トラフィックを正しくルーティングする物理インターフェイスに関連付けられている必要があります。

物理インターフェイスはタグの付いていないパケットを通過させるため、サブインターフェイスを使用する場合、通常は物理インターフェイスでトラフィックを通過させないようにします。 サブインターフェイスでトラフィックを通過させるために、物理インターフェイスはイネーブルにしておく必要がありますが、物理インターフェイスではトラフィックを通過させないように、物理インターフェイスには名前を付けないでください。 ただし、物理インターフェイスでタグの付いていないパケットを通過させる場合には、通常のようにインターフェイスに名前を付けることができます

詳細については、デバイス インターフェイスの管理を参照してください。

EtherChannels について

ポートチャネル インターフェイスとも呼ばれる EtherChannel は、個別のイーサネット リンクのバンドル(チャネル グループ)で構成される論理インターフェイスです。 EtherChannel を使用すると、個別のリンクと比較して帯域幅と耐障害性を強化できます。 EtherChannel インターフェイスは、単一の物理インターフェイスと同様の方法で設定および使用されます。 最大 48 個の EtherChannel を設定できます。各 EtherChannel は 1 ~ 8 個のアクティブなファスト イーサネット ポート、ギガビット イーサネット ポート、または Ten-Gigabit イーサネット ポートで構成されます。 EtherChannel に割り当てられる各インターフェイスは、同じタイプ、速度およびデュプレックス モードである必要があります。

EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。 冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。 ただし、冗長インターフェイスと EtherChannel インターフェイスが同じ物理インターフェイスを使用しない場合は、両方のタイプを ASA に設定できます。

EtherChannel MAC アドレス指定

1 つのチャネル グループに含まれるすべてのインターフェイスは、同じ MAC アドレスを共有します。 これにより、ネットワーク アプリケーションとユーザに対して EtherChannel がトランスペアレントになります。これは、ネットワーク アプリケーションとユーザは 1 つの論理接続のみを認識し、個別のリンクは認識しないためです。 デフォルトでは、EtherChannel は最も番号の小さいメンバ インターフェイスの MAC アドレスをその EtherChannel の MAC アドレスとして使用します。

または、ポートチャネル インターフェイスの MAC アドレスを手動で設定することもできます。 チャネル インターフェイスのメンバーシップを変更する場合は、MAC アドレスを手動で設定することを推奨します。 たとえば、ポートチャネル MAC アドレスを提供するインターフェイスを削除する場合、そのポートチャネルには次に番号の小さいインターフェイスの MAC アドレスが割り当てられるため、トラフィックが分断されます。 手動で一意の MAC アドレスを EtherChannel インターフェイスに割り当てることにより、この分断を防止できます (マルチコンテキスト モードでは、EtherChannel インターフェイスを含め、個別のコンテキストに割り当てられているインターフェイスに一意の MAC アドレスを割り当てることができます)。

管理専用 EtherChannel インターフェイス

EtherChannel グループは管理専用インターフェイスとして指定できますが、次の点に注意してください。

  • ルーテッド モード:EtherChannel を管理専用として明示的に設定する必要があります。 管理専用ポートチャネルに追加された管理用ではないすべてのインターフェイスは、管理ポートとして扱われます。 すでに管理専用として定義されているインターフェイスを管理専用グループに追加する場合、物理インターフェイスではその属性は無視されます。 同様に、インターフェイスがすでに管理専用ポートチャネルのメンバである場合は、そのインターフェイスを管理専用として指定できません。
  • トランスペアレント モード:このモードでは、管理専用 EtherChannel のメンバ自体は管理専用ポートにしかなれません。 そのため、管理専用メンバをトランスペアレント モードの EtherChannel に追加する場合、チャネルは管理専用の指定を継承する一方、その指定はメンバ インターフェイスから削除されます。 反対に、そのようなインターフェイスが EtherChannel から削除されると、その指定は個別のインターフェイス上で復元されます。

EtherChannel インターフェイスのフェールオーバー リンクとしての使用

EtherChannel インターフェイスがフェールオーバー リンクとして指定されている場合、そのリンクのすべての状態同期トラフィックは単一の物理インターフェイスで送信されます。 その物理インターフェイスに障害が発生すると、状態同期トラフィックは EtherChannel 集約リンクに含まれる別の物理インターフェイスを通過します。 フェールオーバー用に指定された EtherChannel リンクに使用可能な物理インターフェイスが残っていない場合、冗長インターフェイスが指定されていれば、ASA は冗長インターフェイスに切り替えます。

EtherChannel インターフェイスはアクティブなフェールオーバー リンクとして使用されますが、その EtherChannel 設定を変更することはできません。 そのリンクの EtherChannel 設定を変更するには、次のようにして、リンクまたはフェールオーバーのいずれかをディセーブルにする必要があります。

  • 設定を変更している間は EtherChannel リンクをディセーブルにし、その後リンクを再アクティブ化します(リンクがディセーブルになっている間はフェールオーバーは発生しません)。
  • 設定を変更している間はフェールオーバーをディセーブルにし、その後フェールオーバーをイネーブルにします(その間フェールオーバーは発生しません)。

(注)  


フェールオーバー リンクとして割り当てられている他のタイプのインターフェイスと同様、EtherChannel インターフェイスに名前を付けることはできません。 さらに、EtherChannel のメンバ インターフェイスに名前を付けることもできません。


EtherChannel ロード バランシング

EtherChannel のトラフィックは、バンドルされている個別のリンク間で決定論的手法により分散されます。ただし、すべてのリンクで負荷が均等に分配されるわけではありません。 代わりに、ハッシュ アルゴリズムの結果として、フレームは特定のリンクに転送されます。 このアルゴリズムでは、特定のフィールドまたはフィールドの組み合わせをパケット ヘッダーで使用して、使用するリンクを示す固定の Result Bundle Hash(RBH)値を生成します。

アルゴリズムは、パケット ヘッダー フィールド(送信元 IP アドレス、宛先 IP アドレス、送信元 MAC アドレス、宛先 MAC アドレス、TCP/UDP ポート番号、VLAN ID)の 1 つまたはそれらのフィールドの組み合わせを使用して、リンクの割り当てを決定します。 アルゴリズムが使用するフィールドの組み合わせが、EtherChannel のプロパティ 画面の [Advanced Information] セクションにある [Load Balancing] リストから選択されます。

たとえば、[Source MAC] を選択した場合、パケットが EtherChannel に転送されると、それらのパケットは各着信パケットの送信元 MAC アドレスに基づいて、チャネル内のポート間で分散されます。 そのため、ロード バランシングを行うには、異なるホストからのパケットはチャネル内の異なるポートを使用しますが、同じホストからのパケットはチャネル内の同じポートを使用します(また、デバイスが学習した MAC アドレスは変更されません)。

同様に、宛先 MAC アドレス転送では、パケットが EtherChannel に転送されると、各パケットはパケットの宛先ホスト MAC アドレスに基づいて、チャネル内のポート間で分散されます。 したがって、宛先が同じパケットは同じポートに転送され、宛先の異なるパケットはそれぞれ異なるチャネル ポートに転送されます。

そのため、ロード バランシング オプションを選択するときには、柔軟に設定できるオプションを使用します。 たとえば、チャネル上のほとんどのトラフィックが 1 つの MAC アドレスにのみ送信される場合、宛先 MAC アドレスを選択すると、ほとんどのトラフィックが常にチャネル内の同じリンクを使用するようになります。 別の方法として、送信元アドレスや IP アドレスを使用すると、ロード バランシングが向上する場合があります。また、UDP ポート番号や TCP ポート番号とともに送信元アドレスと宛先アドレスを使用すると、まったく異なる方式でトラフィックを分配できます。

ロード バランシング オプション

EtherChannel インターフェイスを定義する場合は、負荷分散の基準を指定するために次の [Load Balancing] オプションのいずれかを選択します。

  • [Destination IP]:宛先のホスト IP アドレスにのみ基づいて負荷分散が行われます。パケットの送信元は考慮されません。 同じ宛先 IP アドレスを持つ各パケットは、同じリンクで転送されます。
  • [Destination IP and Layer 4 Port]:負荷分散は宛先ホストの IP アドレスと TCP/UDP ポートに基づいています。 このオプションを使用すると、宛先 IP アドレスだけの場合より、よりきめ細かく多少複雑な負荷分散を実行できます。
  • [Destination Layer 4 Port]:宛先ポートに基づいて負荷分散が行われます。つまり、物理インターフェイスではなく、TCP ポートまたは UDP ポートに基づいて行われます。
  • [Destination MAC]:着信パケットの宛先ホストの MAC アドレスに基づいて負荷分散が行われます。
  • [Source IP]:送信元のホスト IP アドレスにのみ基づいて行われます。
  • [Source IP and Layer 4 Port]:送信元 IP アドレスおよび TCP/UDP ポート。
  • [Source Layer 4 Port]:送信元 TCP/UDP ポートのみ。
  • [Source MAC]:送信元 MAC アドレスのみ。
  • [Source and Destination IP]:送信元 IP アドレスと宛先 IP アドレスに基づいて負荷分散が行われます。ハッシュ計算では、送信元 IP アドレスと宛先 IP アドレスがペアで使用されます。 この方式を使用すると、宛先 IP アドレスよりもきめ細かい負荷分散を実行できます。たとえば、同じ宛先へのパケットが異なる IP 送信元から送信されている場合、ポートチャネル内の異なるリンクからそのパケットを転送できます。
  • [Source and Destination IP and Layer 4 Port]:分散の計算では、送信元 IP アドレスと宛先 IP アドレス、および TCP/UDP ポートが考慮されます。 さらにきめ細かい負荷分散を実行できます。
  • [Source and Destination Layer 4 Port]:負荷分散は送信元と宛先の TCP/UDP ポートに基づいています。
  • [Source and Destination MAC]:計算は、送信元と宛先の MAC アドレスのペアに基づいて行われます。
  • [VLAN Destination IP]:宛先 IP アドレスと VLAN ID のペア。
  • [VLAN Destination IP and Layer 4 Port]:宛先 IP アドレス、TCP/UDP ポート、および VLAN ID の組み合わせ。
  • [VLAN Source IP]:送信元 IP アドレスと VLAN ID。
  • [VLAN Source IP and Layer 4 Port]:送信元 IP アドレス、TCP/UDP ポート、および VLAN ID。
  • [VLAN Source and Destination IP]:送信元と宛先の IP アドレス、および VLAN ID。
  • [VLAN Source and Destination IP and Layer 4 Port]:送信元と宛先の IP アドレス、TCP/UDP ポート、および VLAN ID。
  • [VLAN Only]:VLAN ID のみ。

スタティック ルートについて

スタティック ルートは、現在のデバイスで手動で定義されている特定の宛先ネットワークへの特定のパスです。 スタティック ルートは、さまざまな状況で使用されます。宛先へのダイナミック ルートがない場合、またはダイナミック ルーティング プロトコルの使用が不可能な場合に、1 つのネットワークから別のネットワークにデータをルーティングする迅速で効果的な方法です。

すべてのルートに、その使用プライオリティを示す値または「メトリック」があります。 (このメトリックは「アドミニストレーティブ ディスタンス」とも呼ばれます)。同じ宛先に対して 2 つ以上のルートが使用可能な場合、デバイスはアドミニストレーティブ ディスタンスを使用して使用するルートを決定します。

スタティック ルートのデフォルトのメトリック値は 1 であり、ダイナミック ルーティング プロトコルによるルートよりも優先されます。 ダイナミック ルートのメトリックよりも大きい値にメトリックを増やすと、スタティック ルートは、ダイナミック ルートに障害が発生した際のバックアップとして動作します。 たとえば、Open Shortest Path First(OSPF)から取得されたルートには、100 というデフォルトのアドミニストレーティブ ディスタンスがあります。 OSPF ルートが優先されるバックアップ スタティック ルートを設定するには、スタティック ルートに 100 よりも大きいメトリック値を指定します。 これは、「フローティング」スタティック ルートと呼ばれます。

デフォルト ルートと呼ばれる特別な種類のスタティック ルートがあります。宛先アドレスとサブネット マスクの両方にすべて 0 が使用されるため、「0 - 0」ルートとも呼ばれます。 デフォルトのスタティック ルートは、catch-all ゲートウェイとして機能します。デバイスのルーティング テーブルで特定の宛先について一致がない場合は、デフォルト ルートが使用されます。 一般に、デフォルト ルートにはネクストホップ IP アドレスまたはローカル出口インターフェイスが含まれます。

SLA を使用したルート トラッキング

DHCP または PPPoE を使用するインターフェイスを定義するとき、サービス レベル契約(SLA)をモニタするようにセキュリティ アプライアンスを設定することによって、DHCP または PPPoE の学習されたデフォルト ルートのトラッキングを設定できます。 別のネットワーク上のデバイスへの接続性をモニタリングすることによって、プライマリ ルートの可用性をトラッキングし、プライマリ ルートに障害が発生した場合のバックアップ ルートを準備することができます。

たとえば、インターネット サービス プロバイダー(ISP)ゲートウェイへのデフォルト ルートを定義し、かつ、プライマリ ISP が使用できなくなった場合に備えて、セカンダリ ISP へのバックアップ デフォルト ルートを定義できます。 この方法はデュアル ISP と呼ばれ、セキュリティ アプライアンスにハイ アベイラビリティをもたらします。ハイ アベイラビリティは、カスタマーに必要なサービスを提供するための重要な要素となります。

ルートが有効かどうかを本質的に判断するメカニズムは、ルート トラッキング以外には存在しません。 ネクスト ホップ ゲートウェイが使用できなくなった場合にも、スタティック ルートはルーティング テーブル内に残ります。セキュリティ アプライアンス上の関連付けられたインターフェイスがダウンした場合にのみ削除されます。

セキュリティ アプライアンスは、インターフェイスの設定時に指定したモニタリング対象にルートを関連付けることによって、ルート トラッキングを実行します。 対象のモニタリングは、設定されたパラメータに従い、ICMP エコー要求を使用して行われます。 指定された時間内にエコー応答が受信されない場合、SLA モニタはダウンしていると見なされ、関連付けられたルートがルーティング テーブルから削除されます。 削除されたルートに代わって、すでに定義されているバックアップ ルートが使用されます。

デバイス インターフェイスの管理

[Interfaces] ページには、選択したデバイスで設定されているインターフェイスを表示され、それらを追加、編集、および削除することができます。

各セキュリティ デバイスが設定され、各アクティブ インターフェイスがイネーブルになっている必要があります。 非アクティブ インターフェイスをディセーブルにすることができます。 ディセーブルにした場合、インターフェイスでデータの送受信は行われませんが、その設定情報は保持されます。

新しいセキュリティ デバイスをブートストラップした場合、設定機能で設定されるのは、内部インターフェイスに関連付けられたアドレスおよび名前だけです。 そのセキュリティ デバイスを通過するトラフィックのアクセス ルールおよび変換ルールを指定する前に、そのデバイス上の残りのインターフェイスを定義する必要があります。


(注)  


トランスペアレント ファイアウォール モードでは、2 つのインターフェイスだけがトラフィックを渡すことができます。ただし、専用の管理インターフェイスがプラットフォームに含まれている場合は、そのインターフェイス(物理インターフェイスまたはサブインターフェイスのいずれか)を、管理トラフィック用の第 3 のインターフェイスとして使用できます。


セキュリティ デバイスのインターフェイス定義を管理するには、次の手順を行います。

手順
    ステップ 1   特定のデバイスのインターフェイス設定を管理するには、Configurations > Policies/Settings を選択します。
    ステップ 2   目的のデバイスを選択します。[Devices] が [Policies/Settings] ビュー セレクタで選択されていることを確認し、デバイス リストから管理するデバイスを選択します。
    ステップ 3   [Interfaces] タブをクリックして、デバイスの [Interfaces] ページを表示します。

    デバイスに現在定義されているすべてのインターフェイスがテーブルとして表示されます。

    (注)     

    フェールオーバーにインターフェイスを使用する場合は、設定しないでください。特に、インターフェイス名は指定しないでください。このパラメータを指定すると、インターフェイスをフェールオーバー リンクとして使用できなくなります。 フェールオーバー インターフェイスの設定の詳細については、ハイ アベイラビリティの管理 を参照してください。

    ステップ 4   次のように、インターフェイス定義を追加、編集、および削除します。
    • 新しいインターフェイス定義を追加するには、テーブルの上部にある [Add] ボタンをクリックし、次のどちらかを選択します。

      選択するときに既存のエントリがテーブル内で強調表示されている場合は、新しい定義はサブ項目としてそのインターフェイスに割り当てられます。 選択するときに何も選択されていない場合は、新しい定義はテーブルの最下部に追加されます。 また、テーブルで選択されているエントリによって、これらの選択肢の 1 つ以上が使用できない場合があります。

      (注)     

      基本的な物理インターフェイス定義がデバイスの検出中に取得されます。 物理インターフェイス定義を追加できませんが、既存の定義を編集できます。

    • インターフェイス定義を編集するには、適切なエントリまたはサブエントリを選択し、その横にある [Edit Interface] ボタンをクリックします。 開かれる特定のプロパティ編集画面は、エントリで表されるインターフェイスのタイプによって異なります。
    • インターフェイス定義を削除するには、適切なエントリまたはサブエントリを選択し、その横にある [Delete Interface] ボタンをクリックします。

      削除の確認が求められます。


    物理インターフェイスのプロパティ

    次のプロパティは、物理インターフェイス定義編集するときに表示されます。


    (注)  


    基本的な物理インターフェイス定義がデバイスの検出中に取得されます。 物理インターフェイス定義を追加できません。既存の定義を編集することだけできます。


    Name

    このインターフェイスに最大 48 文字の ID を指定します。 名前には、インターフェイスの用途に関係する覚えやすい名前を付けます。 ただし、フェールオーバーを使用している場合は、フェールオーバー通信用に予約しているインターフェイスに名前を付けないでください。これには、フェールオーバー用に使用する EtherChannel およびそのメンバ インターフェイスも含まれます。 また、冗長インターフェイス ペアのメンバとして使用するインターフェイスに名前を付けないでください。


    (注)  


    定義された後にインターフェイスの名前を変更できます。 ただし、展開されたデバイス設定に対して変更すると、いくつかの既存のポリシーやオブジェクトに影響を与える可能性があることに注意してください。 インターフェイス名の変更をコミットするときにこのような競合が通知された場合は、影響を受けるすべてのポリシーおよびオブジェクトを追跡し、更新してください。


    セキュリティ アプライアンスのインターフェイス命名ルールに従って、いくつかの名前が特定のインターフェイス用に予約されています。 そのため、これらの予約名を使用すると、次のように、デフォルトの予約済みセキュリティ レベルが適用されます。

    • [Inside]:内部ネットワークに接続します。 最もセキュアなインターフェイスにする必要があります。
    • [DMZ]:中間インターフェイス、または境界ネットワークに接続された非武装地帯 一般的に、DMZ インターフェイスには、インターフェイス タイプを識別するために「DMZ」というプレフィックスを付けます。
    • [Outside]:外部ネットワークまたはインターネットに接続します。 セキュア度の最も低いインターフェイスにする必要があります。

    同様に、一般的にサブインターフェイス名には、一意の ID に加えて、関連付けられているインターフェイスも示されます。 たとえば、「DMZoobmgmt」で、DMZ インターフェイスに接続されているアウトオブバンド管理ネットワークを示すことができます。

    Description

    オプションで入力する最大 240 文字のインターフェイスの説明。

    Enable Interface

    このインターフェイスでトラフィックを渡せるようにするには、オンにします。

    インターフェイスがイネーブルでない場合、トラフィックはあらゆるタイプのインターフェイスを通過できません。 サブインターフェイスなどの論理インターフェイスを定義する場合は、サブインターフェイスを定義する前に、関連付ける物理インターフェイスをイネーブルにします。 冗長インターフェイスまたは EtherChannel インターフェイスを定義する場合は、グループ インターフェイスを定義する前に、メンバ インターフェイスをイネーブルにします。

    マルチコンテキスト モードでは、物理インターフェイスまたは論理インターフェイスを 1 つのコンテキストに割り当てると、そのコンテキスト内のインターフェイスがデフォルトではイネーブルになります。 ただし、トラフィックがコンテキスト インターフェイスを通過するためには、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。 インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスはそのインターフェイスを共有しているすべてのコンテキストでシャットダウンされます。

    Management Only

    このインターフェイスをデバイス管理用に予約するには、オンにします。 このデバイスの管理用トラフィックだけが受け入れられます。他のインターフェイスおよびデバイスのパススルー トラフィックは拒否されます。

    プライマリまたはセカンダリの ISP インターフェイスは管理専用に設定できません。

    管理専用 EtherChannel インターフェイスの定義には、特定のメンバ インターフェイスの制限があります。 詳細については、「EtherChannels について」を参照してください。


    (注)  


    トランスペアレント モードのデバイスでは使用できません。


    Security Level

    インターフェイスのセキュリティ レベルを指定します。0(最もセキュア度の低い)~ 100(最もセキュア度の高い)の値を入力します。 セキュリティ アプライアンスにより、トラフィックは、内部ネットワークから外部ネットワーク(セキュリティ レベルがより低い)まで自由に通過できます。 他の多くのセキュリティ機能が、2 つのインターフェイスの相対的なセキュリティ レベルによる影響を受けます。

    • 外部インターフェイスは常に 0 です。
    • 内部インターフェイスは常に 100 です。
    • DMZ インターフェイスの値の範囲は 1 ~ 99 です。
    Interface ID

    この読み取り専用フィールドには、ネットワーク タイプ、スロット、およびポート番号を含むインターフェイスの物理ポート ID が、type[slot/]port の形式で表示されます。 これは、サブインターフェイスをインターフェイスに関連付ける名前でもあります。

    物理インターフェイスのネットワーク タイプには、Ethernet または GigabitEthernet のいずれかを表示できます。ASA 5580 以降の場合は、TenGigabitEthernet も使用できます。

    MTU
    最大パケット サイズ、つまり最大伝送単位(MTU)をバイト数で指定します。 この値は、インターフェイスに接続されているネットワークのタイプによって異なります。 有効な値は 300 ~ 65535 バイトです。 PPPoE を除くすべてのタイプのデフォルトは 1500 で、PPPoE のデフォルトは 1492 です。 IPv6 の設定が 1280 の場合の最小 MTU。 マルチコンテキスト モードでは、コンテキスト設定で MTU を設定します。
    [Interface IPv4] セクション

    このインターフェイスの IPv4 アドレス指定オプションにアクセスするには、このセクションを展開します。これらのプロパティについては、インターフェイス:IPv4 プロパティ で説明します。

    [Interface IPv6] セクション

    このインターフェイスの IPv6 アドレス指定オプションにアクセスするには、このセクションを展開します。これらのプロパティについては、インターフェイス:IPv6 プロパティ で説明します。

    [Advanced Information] セクション

    [Active MAC Address]、[Standby MAC Address]、および [Enable Pause Frame] フィールドにアクセスするには、このセクションを展開します。

    Active MAC Address / Standby MAC Address

    プライベート MAC アドレスをインターフェイスに手動で割り当てるには、[Active MAC Address] フィールドを使用できます。 MAC アドレスは、H.H.H の形式で指定します。H は 16 ビットの 16 進数です。 たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。

    必要に応じて、デバイスレベルのフェールオーバーで使用するスタンバイ MAC アドレスも指定できます。 アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

    Enable Pause Frame

    1 ギガビットおよび 10 ギガビットのイーサネット インターフェイスでの、フロー制御のポーズ(XOFF)フレームをイネーブルにするには、オンにします。 デフォルト設定は次のとおりです。

    • 1 ギガビット インターフェイスの場合、最高水準点は 24 KB、最低水準点は 16 KB、ポーズ リフレッシュのしきい値は 26624 スロットです。
    • 10 ギガビット インターフェイスの上限は 128 KB、最低水準点は 64 KB)、ポーズ リフレッシュのしきい値は 26624 スロットです。

    「スロット」は 64 バイトを転送するために必要な時間なので、ユニットあたりの時間はリンク速度によって異なります。 リンク パートナーは、XON フレームを受信した後、または XOFF の期限が切れた後、トラフィック伝送を再開できます。XOFF の期限は、このタイマーによって指定されます。

    [Hardware Configuration] セクション

    このインターフェイスの物理パラメータ、特に [Duplex] モードおよび [Speed] を設定する場合、このセクションを展開します。

    デフォルトでは、インターフェイスは自動検出された速度および自動ネゴシエーションされたデュプレックス モードを使用します。 ASA インターフェイスと接続デバイスが同じ設定値で設定されている場合、インターフェイスは最大速度および全二重モードで動作します。 ただし、このオプションを使用して、スタティックにインターフェイスの速度およびデュプレックス モードを設定できます。

    Duplex

    インターフェイスのデュプレックス モードを選択します。インターフェイス タイプに応じて [Full]、[Half]、または [Auto] があります。 (TenGigabitEthernet インターフェイスの場合、[Duplex] は自動的に [Full] に設定されます)

    SPEED

    物理インターフェイスの速度(ビット/秒)を選択します。[10]、[100]、[1000]、[10000](TenGigabitEthernet インターフェイスに対して自動的に設定されます)、または [Auto]。 使用できる速度は、インターフェイス タイプによって異なります。

    Tags

    この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

    Ticket ID

    ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)

    サブインターフェイスのプロパティ

    サブインターフェイスを使用すると、物理インターフェイスを異なる VLAN ID がタグ付けされた複数の論理インターフェイスに分割できます。 VLAN により、特定の物理インターフェイス上でトラフィックを分離しておくことができるため、物理インターフェイスやセキュリティ アプライアンスを追加しなくても、ネットワークで使用できるインターフェイスの数を増やすことができます。 この機能はマルチ コンテキスト モードで特に役立ち、これにより、各コンテキストに一意のインターフェイスを割り当てることができます。


    (注)  


    物理インターフェイスはタグの付いていないパケットを通過させるため、サブインターフェイスを使用する場合、通常は物理インターフェイスでトラフィックを通過させないようにします。 サブインターフェイスでトラフィックを通過させるために、物理インターフェイスはイネーブルにしておく必要がありますが、物理インターフェイスではトラフィックを通過させないように、物理インターフェイスには名前を付けないでください。 ただし、物理インターフェイスでタグの付いていないパケットを通過させる場合には、通常のようにインターフェイスに名前を付けることができます


    次のプロパティは、サブインターフェイスを追加または編集するときに表示されます。

    Name

    このインターフェイスに最大 48 文字の ID を指定します。 名前には、インターフェイスの用途に関係する覚えやすい名前を付けます。 ただし、フェールオーバーを使用している場合は、フェールオーバー通信用に予約しているインターフェイスに名前を付けないでください。これには、フェールオーバー用に使用する EtherChannel およびそのメンバ インターフェイスも含まれます。 また、冗長インターフェイス ペアのメンバとして使用するインターフェイスに名前を付けないでください。


    (注)  


    定義された後にインターフェイスの名前を変更できます。 ただし、展開されたデバイス設定に対して変更すると、いくつかの既存のポリシーやオブジェクトに影響を与える可能性があることに注意してください。 インターフェイス名の変更をコミットするときにこのような競合が通知された場合は、影響を受けるすべてのポリシーおよびオブジェクトを追跡し、更新してください。


    セキュリティ アプライアンスのインターフェイス命名ルールに従って、いくつかの名前が特定のインターフェイス用に予約されています。 そのため、これらの予約名を使用すると、次のように、デフォルトの予約済みセキュリティ レベルが適用されます。

    • [Inside]:内部ネットワークに接続します。 最もセキュアなインターフェイスにする必要があります。
    • [DMZ]:中間インターフェイス、または境界ネットワークに接続された非武装地帯 一般的に、DMZ インターフェイスには、インターフェイス タイプを識別するために「DMZ」というプレフィックスを付けます。
    • [Outside]:外部ネットワークまたはインターネットに接続します。 セキュア度の最も低いインターフェイスにする必要があります。

    同様に、一般的にサブインターフェイス名には、一意の ID に加えて、関連付けられているインターフェイスも示されます。 たとえば、「DMZoobmgmt」で、DMZ インターフェイスに接続されているアウトオブバンド管理ネットワークを示すことができます。

    Description

    オプションで入力する最大 240 文字のインターフェイスの説明。

    Enable Interface

    このインターフェイスでトラフィックを渡せるようにするには、オンにします。

    インターフェイスがイネーブルでない場合、トラフィックはあらゆるタイプのインターフェイスを通過できません。 サブインターフェイスなどの論理インターフェイスを定義する場合は、サブインターフェイスを定義する前に、関連付ける物理インターフェイスをイネーブルにします。 冗長インターフェイスまたは EtherChannel インターフェイスを定義する場合は、グループ インターフェイスを定義する前に、メンバ インターフェイスをイネーブルにします。

    マルチコンテキスト モードでは、物理インターフェイスまたは論理インターフェイスを 1 つのコンテキストに割り当てると、そのコンテキスト内のインターフェイスがデフォルトではイネーブルになります。 ただし、トラフィックがコンテキスト インターフェイスを通過するためには、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。 インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスはそのインターフェイスを共有しているすべてのコンテキストでシャットダウンされます。

    Management Only

    このインターフェイスをデバイス管理用に予約します。 このデバイスの管理用トラフィックだけが受け入れられます。他のインターフェイスおよびデバイスのパススルー トラフィックは拒否されます。 プライマリまたはセカンダリのサービス プロバイダー インターフェイスは管理専用に設定できません。 管理専用 EtherChannel インターフェイスの定義には、特定のメンバ インターフェイスの制限があります。 詳細については、「EtherChannel のプロパティ」を参照してください。


    (注)  


    トランスペアレント モードのデバイスでは使用できません。


    Security Level

    インターフェイスのセキュリティ レベルを指定します。0(最もセキュア度の低い)~ 100(最もセキュア度の高い)の値を入力します。 セキュリティ アプライアンスにより、トラフィックは、内部ネットワークから外部ネットワーク(セキュリティ レベルがより低い)まで自由に通過できます。 他の多くのセキュリティ機能が、2 つのインターフェイスの相対的なセキュリティ レベルによる影響を受けます。

    • 外部インターフェイスは常に 0 です。
    • 内部インターフェイスは常に 100 です。
    • DMZ インターフェイスの値の範囲は 1 ~ 99 です。
    Physical Interface

    このサブインターフェイスが割り当てられる物理インターフェイスを指定します。以前に定義したインターフェイスのリストが表示されます。 目的のインターフェイス ID が表示されない場合は、インターフェイスが定義済みで、イネーブルにされていることを確認してください。

    Subinterface ID

    サブインターフェイス ID として 1 ~ 4294967293 の整数を指定します。 許可されるサブインターフェイスの番号は、プラットフォームによって異なります。

    サブインターフェイスのポート ID の場合、この ID は指定した [Physical Interface] のハードウェア ポートに付加されます。 たとえば、GigabitEthernet0.4 は、GigabitEthernet0 ポートで動作する、4 の ID を割り当てられたサブインターフェイスを示します。

    VLAN ID

    このサブインターフェイスの VLAN ID を指定します。1 ~ 4094 の値を入力します。 指定した VLAN ID は、どの接続デバイスでも使用されていない必要があります。

    一部の VLAN ID は接続されているスイッチで予約されている場合があります。詳細については、スイッチのマニュアルを確認してください。 マルチコンテキスト モードでは、VLAN ID はシステム設定でのみ設定できます。


    (注)  


    このフィールドの値にゼロ(0)を指定すると、VLAN の指定が削除されます。


    MTU
    最大パケット サイズ、つまり最大伝送単位(MTU)をバイト数で指定します。 この値は、インターフェイスに接続されているネットワークのタイプによって異なります。 有効な値は 300 ~ 65535 バイトです。 PPPoE を除くすべてのタイプのデフォルトは 1500 で、PPPoE のデフォルトは 1492 です。 IPv6 の設定が 1280 の場合の最小 MTU。 マルチコンテキスト モードでは、コンテキスト設定で MTU を設定します。
    [Interface IPv4] セクション

    このインターフェイスの IPv4 アドレス指定オプションにアクセスするには、このセクションを展開します。これらのプロパティについては、インターフェイス:IPv4 プロパティ で説明します。

    [Interface IPv6] セクション

    このインターフェイスの IPv6 アドレス指定オプションにアクセスするには、このセクションを展開します。これらのプロパティについては、インターフェイス:IPv6 プロパティ で説明します。

    [Advanced Information] セクション

    [Active MAC Address] および [Standby MAC Address] フィールドにアクセスするには、このセクションを展開します。

    Active MAC Address / Standby MAC Address

    プライベート MAC アドレスをインターフェイスに手動で割り当てるには、[Active MAC Address] フィールドを使用できます。 MAC アドレスは、H.H.H の形式で指定します。H は 16 ビットの 16 進数です。 たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。

    必要に応じて、デバイスレベルのフェールオーバーで使用するスタンバイ MAC アドレスも指定できます。 アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

    Tags

    この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

    Ticket ID

    ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)

    EtherChannel のプロパティ

    EtherChannel インターフェイスは、単一の物理インターフェイスと同様の方法で設定および使用されます。 最大 48 個の EtherChannel を設定できます。各 EtherChannel は 1 ~ 8 個のアクティブなファスト イーサネット ポート、ギガビット イーサネット ポート、または Ten-Gigabit イーサネット ポートで構成されます。 EtherChannel に割り当てられる各インターフェイスは、同じタイプ、速度およびデュプレックス モードである必要があります。 詳細については、「EtherChannels について」を参照してください。


    (注)  


    EtherChannel の一部として冗長インターフェイスを使用することはできません。また、冗長インターフェイスの一部として EtherChannel を使用することはできません。 冗長インターフェイスと EtherChannel インターフェイスでは同じ物理インターフェイスを使用できません。 ただし、冗長インターフェイスと EtherChannel インターフェイスが同じ物理インターフェイスを使用しない場合は、両方のタイプを ASA に設定できます。


    次のプロパティは、EtherChannel を追加または編集するときに表示されます。

    Name

    このインターフェイスに最大 48 文字の ID を指定します。 名前には、インターフェイスの用途に関係する覚えやすい名前を付けます。 ただし、フェールオーバーを使用している場合は、フェールオーバー通信用に予約しているインターフェイスに名前を付けないでください。これには、フェールオーバー用に使用する EtherChannel およびそのメンバ インターフェイスも含まれます。 また、冗長インターフェイス ペアのメンバとして使用するインターフェイスに名前を付けないでください。


    (注)  


    定義された後にインターフェイスの名前を変更できます。 ただし、展開されたデバイス設定に対して変更すると、いくつかの既存のポリシーやオブジェクトに影響を与える可能性があることに注意してください。 インターフェイス名の変更をコミットするときにこのような競合が通知された場合は、影響を受けるすべてのポリシーおよびオブジェクトを追跡し、更新してください。


    セキュリティ アプライアンスのインターフェイス命名ルールに従って、いくつかの名前が特定のインターフェイス用に予約されています。 そのため、これらの予約名を使用すると、次のように、デフォルトの予約済みセキュリティ レベルが適用されます。

    • [Inside]:内部ネットワークに接続します。 最もセキュアなインターフェイスにする必要があります。
    • [DMZ]:中間インターフェイス、または境界ネットワークに接続された非武装地帯 一般的に、DMZ インターフェイスには、インターフェイス タイプを識別するために「DMZ」というプレフィックスを付けます。
    • [Outside]:外部ネットワークまたはインターネットに接続します。 セキュア度の最も低いインターフェイスにする必要があります。

    同様に、一般的にサブインターフェイス名には、一意の ID に加えて、関連付けられているインターフェイスも示されます。 たとえば、「DMZoobmgmt」で、DMZ インターフェイスに接続されているアウトオブバンド管理ネットワークを示すことができます。

    Description

    オプションで入力する最大 240 文字のインターフェイスの説明。

    Enable Interface

    このインターフェイスでトラフィックを渡せるようにするには、オンにします。

    インターフェイスがイネーブルでない場合、トラフィックはあらゆるタイプのインターフェイスを通過できません。 サブインターフェイスなどの論理インターフェイスを定義する場合は、サブインターフェイスを定義する前に、関連付ける物理インターフェイスをイネーブルにします。 冗長インターフェイスまたは EtherChannel インターフェイスを定義する場合は、グループ インターフェイスを定義する前に、メンバ インターフェイスをイネーブルにします。

    マルチコンテキスト モードでは、物理インターフェイスまたは論理インターフェイスを 1 つのコンテキストに割り当てると、そのコンテキスト内のインターフェイスがデフォルトではイネーブルになります。 ただし、トラフィックがコンテキスト インターフェイスを通過するためには、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。 インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスはそのインターフェイスを共有しているすべてのコンテキストでシャットダウンされます。

    Management Only

    このインターフェイスをデバイス管理用に予約します。 このデバイスの管理用トラフィックだけが受け入れられます。他のインターフェイスおよびデバイスのパススルー トラフィックは拒否されます。 プライマリまたはセカンダリのサービス プロバイダー インターフェイスは管理専用に設定できません。 管理専用 EtherChannel インターフェイスの定義には、特定のメンバ インターフェイスの制限があります。 詳細については、「EtherChannel のプロパティ」を参照してください。


    (注)  


    トランスペアレント モードのデバイスでは使用できません。


    Security Level

    インターフェイスのセキュリティ レベルを指定します。0(最もセキュア度の低い)~ 100(最もセキュア度の高い)の値を入力します。 セキュリティ アプライアンスにより、トラフィックは、内部ネットワークから外部ネットワーク(セキュリティ レベルがより低い)まで自由に通過できます。 他の多くのセキュリティ機能が、2 つのインターフェイスの相対的なセキュリティ レベルによる影響を受けます。

    • 外部インターフェイスは常に 0 です。
    • 内部インターフェイスは常に 100 です。
    • DMZ インターフェイスの値の範囲は 1 ~ 99 です。
    EtherChannel:ID

    この EtherChannel の ID を指定します。有効な ID は、1 ~ 48 の整数です。 この数字は「port-channel」に追加され、[Interfaces] ページにあるテーブルの [Interface] 列で、EtherChannel を識別します。

    Add Interfaces

    1 つ以上使用可能なインターフェイスを選択して、このポートチャネル グループのメンバを指定します。

    最大 16 個のインターフェイスをチャネル グループに割り当てられます。 標準の EtherChannel では、このうち最大 8 個のインターフェイスをアクティブにできます。残りのインターフェイスは個別のインターフェイスに障害が発生した場合のスタンバイ リンクとして動作します。 または、[LACP Mode] を [On] にすると、スタティックな EtherChannel を作成できます(次に説明されているとおり、[Advanced Information] セクションで)。これにより、グループ内のすべてのインターフェイスでトラフィックを通過させることができます。


    (注)  


    チャネル グループのすべてのインターフェイスは、同じタイプと速度である必要があります。 チャネル グループに追加された最初のインターフェイスによって、正しいタイプと速度が決まります。


    MTU
    最大パケット サイズ、つまり最大伝送単位(MTU)をバイト数で指定します。 この値は、インターフェイスに接続されているネットワークのタイプによって異なります。 有効な値は 300 ~ 65535 バイトです。 PPPoE を除くすべてのタイプのデフォルトは 1500 で、PPPoE のデフォルトは 1492 です。 IPv6 の設定が 1280 の場合の最小 MTU。 マルチコンテキスト モードでは、コンテキスト設定で MTU を設定します。
    [Interface IPv4] セクション

    このインターフェイスの IPv4 アドレス指定オプションにアクセスするには、このセクションを展開します。これらのプロパティについては、インターフェイス:IPv4 プロパティ で説明します。

    [Interface IPv6] セクション

    このインターフェイスの IPv6 アドレス指定オプションにアクセスするには、このセクションを展開します。これらのプロパティについては、インターフェイス:IPv6 プロパティ で説明します。

    [Advanced Information] セクション

    [Load Balancing]、[LACP Mode]、[Active Interface]、[Active MAC Address]、および [Standby MAC Address] フィールドにアクセスするには、このセクションを展開します。

    Load Balancing

    EtherChannel ロード バランシングのアルゴリズムを選択します。このオプションの詳細については、EtherChannel ロード バランシング を参照してください。

    LACP Mode

    Link Aggregation Control Protocol (LACP) の目的のモードを選択します。デフォルトは [On] で、すべてのインターフェイスでトラフィックが通過できることを意味しています。

    Active Interface

    From と To の値を選択して、この EtherChannel のアクティブな物理インターフェイスの最小数と最大数を指定します。

    前述のとおり、EtherChannel は 1 ~ 8 個のアクティブ リンクで構成することができます。また、グループには最大 16 個のアクティブ リンクが割り当てられます。 これらの値を使用して、特定の時点でこのチャネル グループでアクティブにできるインターフェイスの最小値と最大値を指定します。

    Active MAC Address / Standby MAC Address

    プライベート MAC アドレスをインターフェイスに手動で割り当てるには、[Active MAC Address] フィールドを使用できます。 MAC アドレスは、H.H.H の形式で指定します。H は 16 ビットの 16 進数です。 たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。

    必要に応じて、デバイスレベルのフェールオーバーで使用するスタンバイ MAC アドレスも指定できます。 アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

    [Hardware Configuration] セクション

    このインターフェイスの物理パラメータ、特に [Duplex] モードおよび [Speed] を設定する場合、このセクションを展開します。

    デフォルトでは、インターフェイスは自動検出された速度および自動ネゴシエーションされたデュプレックス モードを使用します。 ASA インターフェイスと接続デバイスが同じ設定値で設定されている場合、インターフェイスは最大速度および全二重モードで動作します。 ただし、このオプションを使用して、スタティックにインターフェイスの速度およびデュプレックス モードを設定できます。

    Duplex

    インターフェイスのデュプレックス モードを選択します。インターフェイス タイプに応じて [Full]、[Half]、または [Auto] があります。 (TenGigabitEthernet インターフェイスの場合、[Duplex] は自動的に [Full] に設定されます)

    SPEED

    物理インターフェイスの速度(ビット/秒)を選択します。[10]、[100]、[1000]、[10000](TenGigabitEthernet インターフェイスに対して自動的に設定されます)、または [Auto]。 使用できる速度は、インターフェイス タイプによって異なります。

    Tags

    この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

    Ticket ID

    ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)

    冗長インターフェイスのプロパティ

    論理的な「冗長」インターフェイスを定義して、セキュリティ アプライアンスの信頼性を向上させることができるようになりました。 冗長インターフェイスは物理インターフェイスの特定のペアであり、1 つをアクティブ(またはプライマリ)として指定し、もう 1 つをスタンバイ(またはセカンダリ)として指定します。 アクティブ インターフェイスで障害が発生すると、スタンバイ インターフェイスがアクティブになり、トラフィックの送信を開始します。 この機能はデバイスレベルのフェールオーバーとは別のものですが、必要な場合には、フェールオーバーと同様に冗長インターフェイスを設定できます。 最大 8 個の冗長インターフェイス ペアを設定できます。

    冗長インターフェイスは、常にメンバ ペアの 1 つだけがアクティブになる単一のインターフェイス(内部、外部など)として機能します。 この冗長インターフェイスは、一意のインターフェイス名、セキュリティ レベル、および IP アドレスを使用して通常どおりに設定します。 各メンバ インターフェイスは同じタイプ(ギガビット イーサネットなど)である必要があり、名前、セキュリティ レベル、または IP アドレスを割り当てられないことに注意してください。 実際には、メンバー インターフェイスに対して [Duplex] および [Speed] 以外のオプションを設定しないでください。

    冗長インターフェイスは、指定した最初の物理インターフェイスの MAC アドレスを使用します。 コンフィギュレーションでメンバ インターフェイスの順序を変更すると、MAC アドレスは、リストの最初になったインターフェイスの MAC アドレスと一致するように変更されます。 または、冗長インターフェイスに明示的に MAC アドレスを割り当てることもできます。この場合、メンバ インターフェイスの MAC アドレスに関係なく、このアドレスが使用されます。 どちらの場合にも、アクティブ インターフェイスがスタンバイにフェールオーバーしたときには、トラフィックが中断されないように同じ MAC アドレスが保持されます。

    次のプロパティは、冗長インターフェイスを追加または編集するときに表示されます。

    Name

    このインターフェイスに最大 48 文字の ID を指定します。 名前には、インターフェイスの用途に関係する覚えやすい名前を付けます。 ただし、フェールオーバーを使用している場合は、フェールオーバー通信用に予約しているインターフェイスに名前を付けないでください。これには、フェールオーバー用に使用する EtherChannel およびそのメンバ インターフェイスも含まれます。 また、冗長インターフェイス ペアのメンバとして使用するインターフェイスに名前を付けないでください。


    (注)  


    定義された後にインターフェイスの名前を変更できます。 ただし、展開されたデバイス設定に対して変更すると、いくつかの既存のポリシーやオブジェクトに影響を与える可能性があることに注意してください。 インターフェイス名の変更をコミットするときにこのような競合が通知された場合は、影響を受けるすべてのポリシーおよびオブジェクトを追跡し、更新してください。


    セキュリティ アプライアンスのインターフェイス命名ルールに従って、いくつかの名前が特定のインターフェイス用に予約されています。 そのため、これらの予約名を使用すると、次のように、デフォルトの予約済みセキュリティ レベルが適用されます。

    • [Inside]:内部ネットワークに接続します。 最もセキュアなインターフェイスにする必要があります。
    • [DMZ]:中間インターフェイス、または境界ネットワークに接続された非武装地帯 一般的に、DMZ インターフェイスには、インターフェイス タイプを識別するために「DMZ」というプレフィックスを付けます。
    • [Outside]:外部ネットワークまたはインターネットに接続します。 セキュア度の最も低いインターフェイスにする必要があります。

    同様に、一般的にサブインターフェイス名には、一意の ID に加えて、関連付けられているインターフェイスも示されます。 たとえば、「DMZoobmgmt」で、DMZ インターフェイスに接続されているアウトオブバンド管理ネットワークを示すことができます。

    Description

    オプションで入力する最大 240 文字のインターフェイスの説明。

    Enable Interface

    このインターフェイスでトラフィックを渡せるようにするには、オンにします。

    インターフェイスがイネーブルでない場合、トラフィックはあらゆるタイプのインターフェイスを通過できません。 サブインターフェイスなどの論理インターフェイスを定義する場合は、サブインターフェイスを定義する前に、関連付ける物理インターフェイスをイネーブルにします。 冗長インターフェイスまたは EtherChannel インターフェイスを定義する場合は、グループ インターフェイスを定義する前に、メンバ インターフェイスをイネーブルにします。

    マルチコンテキスト モードでは、物理インターフェイスまたは論理インターフェイスを 1 つのコンテキストに割り当てると、そのコンテキスト内のインターフェイスがデフォルトではイネーブルになります。 ただし、トラフィックがコンテキスト インターフェイスを通過するためには、そのインターフェイスをシステム コンフィギュレーションでもイネーブルにする必要があります。 インターフェイスをシステム実行スペースでシャットダウンすると、そのインターフェイスはそのインターフェイスを共有しているすべてのコンテキストでシャットダウンされます。

    Security Level

    インターフェイスのセキュリティ レベルを指定します。0(最もセキュア度の低い)~ 100(最もセキュア度の高い)の値を入力します。 セキュリティ アプライアンスにより、トラフィックは、内部ネットワークから外部ネットワーク(セキュリティ レベルがより低い)まで自由に通過できます。 他の多くのセキュリティ機能が、2 つのインターフェイスの相対的なセキュリティ レベルによる影響を受けます。

    • 外部インターフェイスは常に 0 です。
    • 内部インターフェイスは常に 100 です。
    • DMZ インターフェイスの値の範囲は 1 ~ 99 です。
    Redundant ID
    この冗長インターフェイスの ID を指定します。有効な ID は、1 ~ 8 の整数です。
    Primary Interface

    この使用可能なインターフェイスのリストから、冗長インターフェイス ペアのプライマリ メンバを選択します。 名前付きインターフェイスは冗長インターフェイス ペアでは指定できないため、使用可能なインターフェイスがハードウェア ポート ID に表示されます。

    Secondary Interface

    この使用可能なインターフェイスのリストから、冗長インターフェイス ペアのセカンダリ メンバを選択します。 名前付きインターフェイスは冗長インターフェイス ペアでは指定できないため、使用可能なインターフェイスがハードウェア ポート ID に表示されます。


    (注)  


    メンバ インターフェイスはイネーブルである必要があります。また、メンバ インターフェイスは同じタイプ(GigabitEthernet など)である必要があります。[Name]、[IP Address]、または [Security Level] を割り当てることはできません。 実際には、メンバー インターフェイスに対して [Duplex] および [Speed] 以外のオプションを設定しないでください。


    MTU
    最大パケット サイズ、つまり最大伝送単位(MTU)をバイト数で指定します。 この値は、インターフェイスに接続されているネットワークのタイプによって異なります。 有効な値は 300 ~ 65535 バイトです。 PPPoE を除くすべてのタイプのデフォルトは 1500 で、PPPoE のデフォルトは 1492 です。 IPv6 の設定が 1280 の場合の最小 MTU。 マルチコンテキスト モードでは、コンテキスト設定で MTU を設定します。
    [Interface IPv6] セクション

    [Enforce EUI 64] および [Link-Local Address] オプションにアクセスするには、このセクションを展開します。

    Enforce EUI 64

    オンにすると、ローカル リンクの IPv6 アドレスに Modified EUI-64 形式のインターフェイス ID の使用を適用します。

    このオプションがインターフェイスでイネーブルにされると、そのインターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに対して検証され、インターフェイス ID が Modified EUI-64 形式を使用していることが確認されます。 IPv6 パケットのインターフェイス ID が Modified EUI-64 形式でない場合、パケットはドロップされ、次のシステム ログ メッセージが生成されます。

    「%PIX|ASA-3-325003: EUI-64 source address check failed.」

    アドレス形式の検証は、フローが作成された場合にのみ行われます。 既存のフローからのパケットは確認されません。 さらに、アドレス検証はローカル リンク上のホストに対してのみ実行できます。 ルータの背後にあるホストから受信したパケットは、アドレス形式の検証に失敗してドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。

    Modified EUI-64 形式のインターフェイス ID は、リンク層アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)の間に 16 進数の FFFE を挿入することで、48 ビット リンク層(MAC)アドレスから導出されます。 選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番めのビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。 たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。

    Link-Local Address

    インターフェイスに自動的に生成されたリンクローカル アドレスを上書きするには、このフィールドに目的の IPv6 リンクローカル アドレスを入力します。

    リンクローカル アドレスは、リンクローカル プレフィックス FE80::/64 と修正 EUI-64 形式のインターフェイス ID で形成されます。 たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、リンクローカル アドレス FE80::2E0:B6FF:FE01:3B7A が指定されます。 指定されたアドレスを別のホストが使用している場合は、エラーが表示されます。

    [Advanced Information] セクション

    [Active MAC Address] および [Standby MAC Address] フィールドにアクセスするには、このセクションを展開します。

    Active MAC Address / Standby MAC Address

    プライベート MAC アドレスをインターフェイスに手動で割り当てるには、[Active MAC Address] フィールドを使用できます。 MAC アドレスは、H.H.H の形式で指定します。H は 16 ビットの 16 進数です。 たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。

    必要に応じて、デバイスレベルのフェールオーバーで使用するスタンバイ MAC アドレスも指定できます。 アクティブ装置がフェールオーバーし、スタンバイ装置がアクティブになると、新しいアクティブ装置はアクティブな MAC アドレスの使用を開始して、ネットワークの切断を最小限に抑えます。一方、古いアクティブ装置はスタンバイ アドレスを使用します。

    Tags

    この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

    Ticket ID

    ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)

    ブリッジ グループのプロパティ

    トランスペアレント ファイアウォールは、その内部インターフェイスと外部インターフェイスで同じネットワークを接続し、コンテキストにつき 2 つのインターフェイスだけをサポートします。 ただし、ブリッジ グループを使用すると、コンテキストに使用できるインターフェイスの数を増やすことができます。 最大 8 つのブリッジ グループを設定し、各グループに 4 つのインターフェイスを含むことができます。

    各ブリッジ グループは、別々のネットワークに接続します。 ブリッジ グループのトラフィックは他のブリッジ グループから隔離され、トラフィックはセキュリティ アプライアンス内の別のブリッジ グループにはルーティングされません。また、トラフィックは外部デバイスからセキュリティ アプライアンス内の別のブリッジ グループにルーティングされる前に、セキュリティ アプライアンスから出る必要があります。

    セキュリティ コンテキストのオーバーヘッドを防ぐ場合、またはセキュリティ コンテキストの使用を最小限に抑える場合、複数のブリッジ グループを使用することがあります。 ブリッジング機能はブリッジ グループごとに分かれていますが、その他の多くの機能はすべてのブリッジ グループ間で共有されます。 たとえば、syslog サーバまたは AAA サーバの設定は、すべてのブリッジ グループで共有されます。 セキュリティ ポリシーを完全に分離するには、各コンテキスト内に 1 つのブリッジ グループにして、セキュリティ コンテキストを使用します。

    次のプロパティは、トランスペアレント モードで実行するセキュリティ アプライアンス上のブリッジ グループを追加または編集するときに表示されます。

    ブリッジ グループ ID

    Description

    オプションで入力する最大 240 文字のインターフェイスの説明。

    IP Address / Subnet Mask

    このインターフェイスが接続するネットワーク上のセキュリティ デバイスを示すスタティック IP アドレス(IPv4)およびサブネット マスクを指定します。 IP アドレスは、インターフェイスごとに一意でなければなりません。

    サブネット マスクは、ドット区切り 10 進表記(255.255.255.0 など)で表すか、またはネットワーク マスクのビット数(24 など)を入力して表すことができます。 ネットワークに接続するインターフェイスには 255.255.255.254 または 255.255.255.255 を使用しないでください。使用すると、トラフィックがこのインターフェイスで停止します。 サブネット マスク値を指定しない場合は、次に示すように「クラスフル」ネットワークが使用されます。

    • IP アドレスの最初のオクテットが 1 ~ 126 の場合(つまり、アドレスが 1.0.0.0 ~ 126.255.255.255 の場合)、クラス A ネットマスク(255.0.0.0)が使用されます。
    • IP アドレスの最初のオクテットが 128 ~ 191 の場合(つまり、アドレスが 128.0.0.0 ~ 191.255.255.255 の場合)、クラス B ネットマスク(255.255.0.0)が使用されます。
    • IP アドレスの最初のオクテットが 192 ~ 223 の場合(つまり、アドレスが 192.0.0.0 ~ 223.255.255.255 の場合)、クラス C ネットマスク(255.255.255.0)が使用されます。

    (注)  


    グローバル プールやスタティック NAT エントリの IP アドレスなど、以前にルータ、ホスト、または他のファイアウォール デバイス コマンドに使用したアドレスは使用しないでください。


    Enable IPv6

    このインターフェイスの IPv6 アドレッシングをイネーブルにするには、オンにします。IPv6 リンク ローカル ユニキャスト アドレスもインターフェイスで設定されます。 このオプションをオフにすると、このインターフェイスで IPv6 をディセーブルにできますが、設定情報は保持されます。

    DAD Attempts

    Duplicate Address Detection(DAD; 重複アドレス検出)の実行中にインターフェイスで送信される連続ネイバー送信要求メッセージの数を指定するには、このフィールドに 0 ~ 600 の数を入力します。 0 を入力すると、インターフェイス上で重複アドレス検出がディセーブルになります。 1 を入力すると、フォローアップ送信のない一度の送信を設定します。これはデフォルトです。

    アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます(重複アドレス検出の実行中、新しいアドレスは一時的な状態になります)。 重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。

    重複アドレス検出によって重複アドレスが特定された場合、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用されなくなります。 重複アドレスがインターフェイスのリンクローカル アドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラー メッセージが発行されます。

    %PIX-4-DUPLICATE: Duplicate address FE80::1 on outside

    重複アドレスがインターフェイスのグローバル アドレスの場合は、そのアドレスは使用されず、前述のリンクローカル アドレスと同様のエラー メッセージが発行されます。

    重複アドレスに関連付けられているコンフィギュレーション コマンドはすべて設定済みのままになりますが、アドレスの状態は DUPLICATE に設定されます。 インターフェイスのリンクローカル アドレスに変更があると、新しいリンクローカル アドレスに対して重複アドレス検出が行われ、そのインターフェイスに関連付けられている他のすべての IPv6 アドレスが再生成されます(つまり、重複アドレス検出は、新しいリンクローカル アドレスでのみ行われます)。

    NS Interval

    IPv6 ネイバー送信要求メッセージの再送信間隔(ミリ秒単位)。 有効な値の範囲は 1000 ~ 3600000 ミリ秒で、デフォルト値は 1000 ミリ秒です。


    (注)  


    この値は、このインターフェイスで送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。


    Reachable Time

    リモート IPv6 ノードが到達可能であることが最初に確認されてから、このノードが到達可能であると見なされ続ける時間(ミリ秒単位)。 有効な値の範囲は 0 ~ 3600000 ミリ秒で、デフォルト値は 0 です。 この値に 0 を使用する場合、到達可能時間は未定に設定されます。つまり、到達可能時間の設定および追跡は受信デバイス次第です。

    設定時間によって、使用不可のネイバーを検知できます。 時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワーク デバイスの処理リソースの消費量が増えます。 通常の IPv6 の運用では、あまり短い時間設定は推奨できません。

    [Interface IPv6 Addresses] セクション

    このインターフェイスに割り当てられているスタティック IPv6 アドレスにアクセスするには、このセクションを展開します。

    IPv6 アドレス エントリをこのリストに追加するには、[Add more interface IPv6 Address] ボタンをクリックし、[Address] を入力します。 このアドレスが EUI-64 形式の場合、[EUI-64] プロパティを [On] にします。

    Tags

    この項目の識別に役立つ語とフレーズ。 たとえば、同じタグを複数の項目に割り当てると、検索での表示が容易になります。 タグでは、ユーザが選択した使用例、目的、またはその他の特性を識別できます。 これらのタグは、ユーザの目的にのみ対応しています。システムやポリシーの機能には影響しません。 複数のタグを入力(または選択)できます。

    Ticket ID

    ご使用のサポート システム(Remedy など)からのケース ID またはチケット ID。 ネットワーク サポート ケースに関連する変更を行う場合、トラッキング用にここにチケット ID を入力できます。 新しい ID を入力するか、保留中の変更に使用されている既存の ID から選択することができます。必要なだけの ID を指定します。 (すでにコミットされている変更で使用した ID は、このリストに表示されません)

    インターフェイス:IPv4 プロパティ

    さまざまな追加インターフェイスおよび編集インターフェイス画面(物理、サブインターフェイスなど)にはそれぞれ、そのインターフェイスの IPv4 アドレスを設定するために展開できる [Interface IPv4] セクションが含まれます。 [Interface IPv4] セクションで使用可能なプロパティについてここで説明します。

    IP Type

    インターフェイスのアドレス割り当て方式([Use Static IP]、[Use DHCP]、または [Use PPPoE])を選択し、関連パラメータを指定します。

    • [Use Static IP]IP アドレスサブネット マスクを指定します。
    • [Use DHCP]:Dynamic Host Configuration Protocol(DHCP)をイネーブルにして、接続ネットワーク上の DHCP サーバから IP アドレスが自動的に割り当てられるようにします。 次のオプションが使用可能になります。[Use DHCP Type]、[Obtain default route using DHCP]、[DHCP route metric]、[Enable Tracking DHCP]、[DHCP Broadcast Flag]、および [DHCP Monitoring]。
    • [Use PPPo]:Point-to-Point Protocol over Ethernet(PPPoE)をイネーブルにして、接続ネットワーク上の PPPoE サーバから IP アドレスが自動的に割り当てられるようにします。このオプションは、フェールオーバーではサポートされず、シングルコンテキスト モードでのみ使用できます。 次のオプションが使用可能になります。[VPDN Group Name][PPPoE User Name][PPPoE Password][Confirm Password][PPP Authentication][PPPoE Route Metric][Enable Route Settings]、および [Store in Flash]

    (注)  


    DHCP および PPPoE は、セキュリティ アプライアンスの外部インターフェイスにかぎり設定できます。


    IP Address / Subnet Mask

    このインターフェイスが接続するネットワーク上のセキュリティ デバイスを示すスタティック IP アドレス(IPv4)およびサブネット マスクを指定します。 IP アドレスは、インターフェイスごとに一意でなければなりません。

    サブネット マスクは、ドット区切り 10 進表記(255.255.255.0 など)で表すか、またはネットワーク マスクのビット数(24 など)を入力して表すことができます。 ネットワークに接続するインターフェイスには 255.255.255.254 または 255.255.255.255 を使用しないでください。使用すると、トラフィックがこのインターフェイスで停止します。 サブネット マスク値を指定しない場合は、次に示すように「クラスフル」ネットワークが使用されます。

    • IP アドレスの最初のオクテットが 1 ~ 126 の場合(つまり、アドレスが 1.0.0.0 ~ 126.255.255.255 の場合)、クラス A ネットマスク(255.0.0.0)が使用されます。
    • IP アドレスの最初のオクテットが 128 ~ 191 の場合(つまり、アドレスが 128.0.0.0 ~ 191.255.255.255 の場合)、クラス B ネットマスク(255.255.0.0)が使用されます。
    • IP アドレスの最初のオクテットが 192 ~ 223 の場合(つまり、アドレスが 192.0.0.0 ~ 223.255.255.255 の場合)、クラス C ネットマスク(255.255.255.0)が使用されます。

    (注)  


    グローバル プールやスタティック NAT エントリの IP アドレスなど、以前にルータ、ホスト、または他のファイアウォール デバイス コマンドに使用したアドレスは使用しないでください。


    Use DHCP Type

    選択した [IP Type] が [Use DHCP] の場合、このデバイスの識別に使用するアドレスのタイプを選択します。その [MAC Address] または [Cisco Interface] によって生成されるアドレス。

    オプション 61 の DHCP 要求パケットの内部にインターフェイスの MAC アドレスを保存するように強制するには、[MAC Address] を選択します。 オプション 61 に対して生成された文字列を使用するには、[Cisco Interface] を選択します。この文字列は、Cisco-<MAC_address>-<interface_name>-<host> 形式で「Cisco」とインターフェイス MAC アドレス、インターフェイス名、およびホスト名を連結したものです。

    Obtain default route using DHCP

    デフォルトのスタティック ルートを設定する必要がないように DHCP サーバからデフォルト ルートを取得するには、このオプションを選択します。 「XXXXXXXX」も参照してください。

    DHCP Route Metric

    アドミニストレーティブ ディスタンスを既知のルートに割り当てます。 有効な値は 1 ~ 255 です。 学習されたルートのアドミニストレーティブ ディスタンスはデフォルトで 1 になります。

    すべてのルートに、その使用プライオリティを示す値または「メトリック」があります。 (このメトリックは「アドミニストレーティブ ディスタンス」とも呼ばれます)。同じ宛先に対して 2 つ以上のルートが使用可能な場合、デバイスはアドミニストレーティブ ディスタンスを使用して使用するルートを決定します。

    Enable Tracking DHCP

    特定のサービス レベル契約(SLA)モニタによる DHCP ルート トラッキングをイネーブルにするには、このオプションをオンにします。 次のオプションが使用可能になります。[Track ID]、[Track IP Address]、および [SLA ID]。


    (注)  


    ルート トラッキングは、シングル ルーテッド モードでだけ使用できます。


    Track ID

    [Enable Tracking DHCP] がオンになっている場合は必須です。 ルート トラッキング プロセスに使用される一意の識別子を指定します。 有効値の範囲は 1 ~ 500 です。

    Track IP Address

    [Enable Tracking DHCP] がオンになっている場合は必須です。 追跡する宛先の IP アドレスを入力します。 これは通常、このルートのネクスト ホップの IP アドレスになりますが、そのインターフェイスから利用できる任意のネットワーク オブジェクトとすることもできます。

    SLA ID

    [Enable Tracking DHCP] がオンになっている場合は必須です。 このインターフェイスに適用されるルート トラッキング(接続性のモニタリング)を定義している SLA モニタ オブジェクトの名前を入力します。 有効値の範囲は 1 ~ 2417483647 です。 詳細については、XXXXXXXXXXXXXXX を参照してください。

    DHCP Broadcast Flag

    IP アドレスのために DHCP クライアントによって送信された検出要求において DHCP ヘッダーのブロードキャスト フラグを 1 にセットするには、オンにします。 これがオンの場合は、DHCP サーバは応答をブロードキャスします。そうでない場合は、フラグがゼロに設定され、応答はユニキャストです。

    DHCP Monitoring

    SLA 追跡モニタリングをイネーブルにするには、オンにします。

    VPDN Group Name

    ネットワーク接続、ネゴシエーション、および認証に使用する認証方式とユーザ名/パスワードが含まれる Virtual Private Dialup Network(VPDN; バーチャル プライベート ダイヤルアップ ネットワーク)グループの名前を最大 63 文字で入力します。 詳細については、XXXXXXX を参照してください。

    PPPoE User Name

    VPDN グループに割り当てるユーザ名を入力します。 PPPoE ユーザ名およびパスワードは、通常、ネットワーク サービス プロバイダーによって提供されます。

    PPPoE Password

    [PPPoE User Name] で使用するパスワードを入力します。

    Confirm Password

    パスワードを再入力します。

    PPP Authentication

    この PPPoE 接続に使用する認証のタイプを選択します。

    • [PAP]:パスワード認証プロトコル。クリア テキストでクレデンシャルを交換します。
    • [CHAP]:チャレンジ ハンドシェイク認証プロトコル。暗号化されたクレデンシャルを交換します。
    • [MS-CHAP]:Microsoft 社の CHAP。バージョン 1 だけです。
    PPPoE Route Metric

    アドミニストレーティブ ディスタンスを既知のルートに割り当てます。 有効な値は 1 ~ 255 です。デフォルトは 1 です。

    すべてのルートに、その使用プライオリティを示す値または「メトリック」があります。 (このメトリックは「アドミニストレーティブ ディスタンス」とも呼ばれます)。同じ宛先に対して 2 つ以上のルートが使用可能な場合、デバイスはアドミニストレーティブ ディスタンスを使用して使用するルートを決定します。

    Tracking PPPoE

    特定のサービス レベル契約(SLA)モニタによる PPPoE ルート トラッキングをイネーブルにするには、このオプションをオンにします。 次のオプションが使用可能になります。[Track ID]、[Track IP Address]、および [SLA ID]。


    (注)  


    ルート トラッキングは、シングル ルーテッド モードでだけ使用できます。


    Track ID

    [Tracking PPPoE] がオンになっている場合は必須です。 ルート トラッキング プロセスに使用される一意の識別子を指定します。 有効値の範囲は 1 ~ 500 です。

    Track IP Address

    [Tracking PPPoE] がオンになっている場合は必須です。 追跡する宛先の IP アドレスを入力します。 これは通常、このルートのネクスト ホップの IP アドレスになりますが、そのインターフェイスから利用できる任意のネットワーク オブジェクトとすることもできます。

    SLA ID

    [Tracking PPPoE] がオンになっている場合は必須です。 このインターフェイスに適用されるルート トラッキング(接続性のモニタリング)を定義している SLA モニタ オブジェクトの名前を入力します。 有効値の範囲は 1 ~ 2417483647 です。 詳細については、XXXXXXXXXXXXXXX を参照してください。

    Enable Default Settings

    固定 IP アドレスによる PPPoE をイネーブルにし、[IP Address] および [Subnet Mask] を指定します。 これにより、セキュリティ デバイスは、PPPoE サーバとネゴシエートしてアドレスをダイナミックに割り当てる代わりに、指定されたアドレスを使用します。

    Store in Flash

    オンにすると、提供された PPPoE ユーザ情報は、間違って上書きされないように、デバイスのローカル フラッシュ メモリに格納されます。

    インターフェイス:IPv6 プロパティ

    さまざまな追加インターフェイスおよび編集インターフェイス画面(物理、サブインターフェイスなど)にはそれぞれ、そのインターフェイスの IPv6 アドレスを設定するために展開できる [Interface IPv6] セクションが含まれます。 [Interface IPv6] セクションで使用可能なプロパティについてここで説明します。

    Enable IPv6

    このインターフェイスの IPv6 アドレッシングをイネーブルにするには、オンにします。IPv6 リンク ローカル ユニキャスト アドレスもインターフェイスで設定されます。 このオプションをオフにすると、このインターフェイスで IPv6 をディセーブルにできますが、設定情報は保持されます。

    Enforce EUI 64

    オンにすると、ローカル リンクの IPv6 アドレスに Modified EUI-64 形式のインターフェイス ID の使用を適用します。

    このオプションがインターフェイスでイネーブルにされると、そのインターフェイスで受信した IPv6 パケットの送信元アドレスが送信元 MAC アドレスに対して検証され、インターフェイス ID が Modified EUI-64 形式を使用していることが確認されます。 IPv6 パケットのインターフェイス ID が Modified EUI-64 形式でない場合、パケットはドロップされ、次のシステム ログ メッセージが生成されます。

    「%PIX|ASA-3-325003: EUI-64 source address check failed.」

    アドレス形式の検証は、フローが作成された場合にのみ行われます。 既存のフローからのパケットは確認されません。 さらに、アドレス検証はローカル リンク上のホストに対してのみ実行できます。 ルータの背後にあるホストから受信したパケットは、アドレス形式の検証に失敗してドロップされます。これは、その送信元 MAC アドレスがルータの MAC アドレスであり、ホストの MAC アドレスではないためです。

    Modified EUI-64 形式のインターフェイス ID は、リンク層アドレスの上位 3 バイト(OUI フィールド)と下位 3 バイト(シリアル番号)の間に 16 進数の FFFE を挿入することで、48 ビット リンク層(MAC)アドレスから導出されます。 選択されたアドレスが一意のイーサネット MAC アドレスから生成されることを保証するため、上位バイトの下位から 2 番めのビット(ユニバーサル/ローカル ビット)が反転され、48 ビット アドレスの一意性が示されます。 たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、02E0:B6FF:FE01:3B7A の 64 ビット インターフェイス ID が指定されます。

    Link-Local Address

    インターフェイスに自動的に生成されたリンクローカル アドレスを上書きするには、このフィールドに目的の IPv6 リンクローカル アドレスを入力します。

    リンクローカル アドレスは、リンクローカル プレフィックス FE80::/64 と修正 EUI-64 形式のインターフェイス ID で形成されます。 たとえば、MAC アドレス 00E0.B601.3B7A のインターフェイスには、リンクローカル アドレス FE80::2E0:B6FF:FE01:3B7A が指定されます。 指定されたアドレスを別のホストが使用している場合は、エラーが表示されます。

    Autoconfiguration

    IPv6 ステートレス アドレス自動コンフィギュレーションを実行してリンクのプレフィックスを検出し、EUI-64 ベースのアドレスをインターフェイスに追加するためにデバイスを有効にするには、オンにします。 アドレスは、Router Advertisement(RA; ルータ アドバタイズメント)メッセージで受信されたプレフィックスによって設定されます。

    リンクローカル アドレスが設定されていなければ、アドレスはこのインターフェイス用に自動的に生成されます。 生成されたリンクローカル アドレスを別のホストが使用している場合は、エラーが発生されます。

    Enable DHCP for Address Configuration

    インターフェイスが IPv6(DHCPv6)サーバの Dynamic Host Configuration Protocol から動的に IPv6 アドレスを取得できるようにするには、オンにします。

    Enable DHCP for Non-address Configuration

    インターフェイスが DNS または NTP サーバ アドレスなど、アドレス以外の他の設定情報を DHCPv6 サーバから取得できるようにするには、オンにします。

    [Interface IPv6 Addresses] セクション

    このインターフェイスに割り当てられているスタティック IPv6 アドレスにアクセスするには、このセクションを展開します。

    IPv6 アドレス エントリをこのリストに追加するには、[Add more interface IPv6 Address] ボタンをクリックし、[Address] を入力します。 このアドレスが EUI-64 形式の場合、[EUI-64] プロパティを [On] にします。

    [Interface IPv6 Prefix] セクション

    IPv6 ルータ アドバタイズメントに含まれる、このインターフェイスに割り当てられる IPv6 プレフィックス(つまり、IPv6 アドレスのネットワーク部分)を指定するには、このセクションを展開します。

    IPv6 プレフィックス リストをこのエントリを追加するには、[Add more interface IPv6 Prefix] ボタンをクリックし、目的の IPv6 [Address]、[Advertisement]、[Off Link]、[Auto-configuration]、[Prefix Lifetime]、[Preferred Lifetime/Date]、および [Valid Lifetime/Date] を指定します。

    • [Address]:ルータ アドバタイズメントの(RA)メッセージに含める IPv6 ネットワーク番号を指定します。 Default キーワードは、デフォルト値がライフタイムとプリファレンスの有効期限に使用されます。
    • [Advertisement]:RA メッセージが抑制され、このセクションの残りのオプションが非表示になります。
    • [Off Link]:このオプションがオンの場合、指定したプレフィックスはオンリンクの指定に使用されません。
    • [Auto-configuration]:オフの場合、ローカル リンクのホストでは、IPv6 自動設定に指定したプレフィックスを使用できません。
    • [Prefix Lifetime]:指定された IPv6 プレフィックスが優先および有効としてアドバタイズされる方法を指定します。[Duration] を選択して時間の長さを選択するか、または [Expiration] を選択してアドバタイジングが期限切れになる日付および時刻を指定します。
    • [Preferred Lifetime/Date]:[Prefix Lifetime] が [Duration] の場合、指定された IPv6 プレフィックスが優先されるものとしてアドバタイズされる期間(秒)を入力します。 指定できる範囲は 60 ~ 4,294,967,295 で、デフォルトは 604,800 秒(7 日間)です。 [Prefix Lifetime] が [Expiration] の場合、優先されるアドバタイジングが終了する日付と時刻を入力します。
    • [Valid Lifetime/Date]:[Prefix Lifetime] が [Duration] の場合、指定された IPv6 プレフィックスが有効なものとしてアドバタイズされる期間(秒)を入力します。 指定された IPv6 プレフィックスが有効プレフィックスとしてアドバタイズされる時間(秒単位)。 指定できる範囲は 60 ~ 4,294,967,295 で、デフォルトは 2,592,000 秒(30 日間)です。 [Prefix Lifetime] が [Expiration] の場合、有効なアドバタイジングが終了する日付と時刻を入力します。
    [Settings] セクション

    このインターフェイスに対してさまざまなルータ アドバタイズメント(RA)およびネイバー送信要求の設定を定義するには、このセクションを展開します。[DAD Attempts]、[NS Interval]、[Reachable Time]、[Enable RA]、[RA Lifetime]、および [RA Interval]。

    DAD Attempts

    Duplicate Address Detection(DAD; 重複アドレス検出)の実行中にインターフェイスで送信される連続ネイバー送信要求メッセージの数を指定するには、このフィールドに 0 ~ 600 の数を入力します。 0 を入力すると、インターフェイス上で重複アドレス検出がディセーブルになります。 1 を入力すると、フォローアップ送信のない一度の送信を設定します。これはデフォルトです。

    アドレスがインターフェイスに割り当てられる前に、重複アドレス検出によって、新しいユニキャスト IPv6 アドレスの一意性が確認されます(重複アドレス検出の実行中、新しいアドレスは一時的な状態になります)。 重複アドレス検出では、ネイバー送信要求メッセージを使用して、ユニキャスト IPv6 アドレスの一意性を確認します。

    重複アドレス検出によって重複アドレスが特定された場合、そのアドレスの状態は DUPLICATE に設定され、アドレスは使用されなくなります。 重複アドレスがインターフェイスのリンクローカル アドレスの場合は、そのインターフェイス上で IPv6 パケットの処理がディセーブルになり、次のようなエラー メッセージが発行されます。

    %PIX-4-DUPLICATE: Duplicate address FE80::1 on outside

    重複アドレスがインターフェイスのグローバル アドレスの場合は、そのアドレスは使用されず、前述のリンクローカル アドレスと同様のエラー メッセージが発行されます。

    重複アドレスに関連付けられているコンフィギュレーション コマンドはすべて設定済みのままになりますが、アドレスの状態は DUPLICATE に設定されます。 インターフェイスのリンクローカル アドレスに変更があると、新しいリンクローカル アドレスに対して重複アドレス検出が行われ、そのインターフェイスに関連付けられている他のすべての IPv6 アドレスが再生成されます(つまり、重複アドレス検出は、新しいリンクローカル アドレスでのみ行われます)。

    NS Interval

    IPv6 ネイバー送信要求メッセージの再送信間隔(ミリ秒単位)。 有効な値の範囲は 1000 ~ 3600000 ミリ秒で、デフォルト値は 1000 ミリ秒です。


    (注)  


    この値は、このインターフェイスで送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。


    Reachable Time

    リモート IPv6 ノードが到達可能であることが最初に確認されてから、このノードが到達可能であると見なされ続ける時間(ミリ秒単位)。 有効な値の範囲は 0 ~ 3600000 ミリ秒で、デフォルト値は 0 です。 この値に 0 を使用する場合、到達可能時間は未定に設定されます。つまり、到達可能時間の設定および追跡は受信デバイス次第です。

    設定時間によって、使用不可のネイバーを検知できます。 時間を短く設定すると、使用できないネイバーをより早く検出できます。ただし、時間を短くするほど、IPv6 ネットワーク帯域幅とすべての IPv6 ネットワーク デバイスの処理リソースの消費量が増えます。 通常の IPv6 の運用では、あまり短い時間設定は推奨できません。

    Enable RA

    このインターフェイスでルータ アドバタイズメント(RA)をイネーブルにするには、オンにします。

    RA Lifetime

    「ルータ ライフタイム」値では、ローカル リンク上のノードがセキュリティ アプライアンスをリンク上のデフォルト ルータと見なし続ける期間を指定します。 有効な値の範囲は 0 ~ 9000 秒で、デフォルトは 1800 秒です。 0 を入力すると、セキュリティ アプライアンスは選択したインターフェイスのデフォルト ルータとは見なされません。

    0 以外の任意の値は、次の [RA Interval] 値より小さい値にはできません。


    (注)  


    この値は、このインターフェイスで送信されるすべての IPv6 ルータ アドバタイズメントに含まれます。


    RA Interval

    このインターフェイスで IPv6 ルータ アドバタイズメント メッセージが送信される時間間隔。 有効な値の範囲は 3 ~ 1800 秒です(次の [RA Interval in Milliseconds] オプションがオンの場合は 500 ~ 1800000 ミリ秒)。デフォルトは 200 秒です。

    [RA Lifetime] が 0 以外の場合、送信の間隔は [RA Lifetime] の値以下にする必要があります。 他の IPv6 ノードと同期しないようにするには、使用する実際値を必要値の 20 % 以内にランダムに調整します。